Входящи и изходящи ограничения на сътрудничество между клиенти
Бележка
Новият и подобрен Power Platform център за администриране вече е в публичен преглед! Проектирахме новия център за администриране така, че да бъде по-лесен за използване, с ориентирана към задачите навигация, която ви помага да постигате конкретни резултати по-бързо. Ще публикуваме нова и актуализирана документация, когато новият Power Platform център за администриране премине към обща наличност.
Microsoft Power Platform има богата екосистема от конектори, базирана на Microsoft Entra това, което позволява на оторизираните Microsoft Entra потребители да създават завладяващи приложения и потоци, установяващи връзки с бизнес данните, достъпни чрез тези хранилища за данни. Изолацията на клиента улеснява администраторите да гарантират, че тези конектори могат да бъдат използвани по безопасен и сигурен начин в рамките на клиента, като същевременно минимизира риска от изтичане на данни извън клиента. Изолацията на клиента позволява Power Platform на администраторите ефективно да управляват движението на данните на клиента от Microsoft Entra упълномощени източници на данни към и от техния клиент.
Power Platform Изолацията на клиента е различна от Microsoft Entra ограничението на клиента за целия ID. Това не влияе на достъпа, базиран на идентификатор извън него Microsoft Entra Power Platform. Power Platform Изолацията на клиент работи само за конектори, използващи Microsoft Entra удостоверяване, базирано на ИД, като например Office 365 Outlook или SharePoint.
Предупреждение
Има известен проблем с Azure DevOps конектора , който води до това, че правилата за изолация на клиента не се прилагат за връзки, установени с помощта на този конектор. Ако векторът на вътрешна атака е проблем, препоръчваме да ограничите използването на конектора или действията му с помощта на правила за данни.
Конфигурацията по подразбиране с Power Platform изключена изолация на клиент е да позволи безпроблемно установяване на връзки между клиенти, ако потребителят от клиент А, установяващ връзката с клиент Б, представи подходящи Microsoft Entra идентификационни данни. Ако администраторите искат да позволят само на избран набор от клиенти да установяват връзки към или от своя клиент, те могат да включат изолацията на клиента Вкл..
При изолация на клиент Включенавсички клиенти са ограничени. Входящите (връзки към клиента от външни клиенти) и изходящите (връзки от клиента към външни клиенти) връзки между клиенти се блокират дори Power Platform ако потребителят представи валидни идентификационни данни на защитения Microsoft Entra източник на данни. Можете да използвате правила, за да добавите изключения.
Администраторите могат да посочат изричен списък с разрешени клиенти, които искат да разрешат входящи, изходящи или и двете, което заобикаля контролите за изолация на клиенти, когато са конфигурирани. Администраторите могат да използват специален модел "*", за да разрешат на всички клиенти в определена посока, когато изолацията на клиентите е включена. Всички други връзки между клиентите, с изключение на тези в списъка с разрешени, се отхвърлят от Power Platform.
Изолацията на клиента може да бъде конфигурирана в Power Platform административния център. То влияе на приложения за платно на Power Platform и потоците на Power Automate. За да настроите изолация на клиента, трябва да сте администратор на клиента.
Способността за изолация на клиент на Power Platform се предлага с две възможности: еднопосочно или двупосочно ограничение.
Разбиране на сценариите за изолация на клиенти и въздействието
Преди да започнете да конфигурирате ограниченията за изолация на клиенти, прегледайте следния списък, за да разберете сценариите и въздействието на изолацията на клиенти.
- Администраторът иска да включи изолацията на клиентите.
- Администраторът е загрижен, че съществуващите приложения и потоци, използващи връзки между клиенти, спират да работят.
- Администраторът решава да разреши изолирането на клиента и да добави правила за изключения, за да елиминира въздействието.
- Администраторът изпълнява отчетите за изолация между клиенти, за да определи клиентите, които трябва да бъдат освободени. Повече информация: Урок: Създаване на отчети за изолация между клиенти (преглед)
Двупосочна изолация на клиент (ограничение на входящата и изходящата връзка)
Двупосочната изолация на клиента блокира опитите за установяване на връзка с вашия клиент от други клиенти. Освен това двупосочната изолация на наемателите също блокира опитите за установяване на връзка от вашия клиент към други наематели.
В този сценарий администраторът на клиента разрешава двупосочна изолация на клиента на Contoso, докато външният клиент на Fabrikam не е добавен към списъка с разрешени.
Потребителите, влезли Power Platform в клиента на Contoso, не могат да установят изходящи Microsoft Entra връзки, базирани на ИД, към източници на данни в клиента на Fabrikam, въпреки че представят подходящи Microsoft Entra идентификационни данни за установяване на връзката. Това е изолация на изходящ клиент за клиента на Contoso.
По същия начин потребителите, влезли Power Platform в клиента на Fabrikam, не могат да установят входящи Microsoft Entra връзки, базирани на ИД, към източници на данни в клиента на Contoso, въпреки че представят подходящи Microsoft Entra идентификационни данни за установяване на връзката. Това е изолация на входящ клиент за клиента на Contoso.
| Клиент на създателя на връзката | Клиент за вход за връзка | Достъпът е разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолация на клиент Включено) | Fabrikam | Не (Изходящо) |
| Fabrikam | Contoso (изолация на клиент Включено) | Не (входящи) |
| Fabrikam | Fabrikam | Да |
Бележка
Опит за свързване, иницииран от гост потребител от неговия хост клиент, който е насочен към източници на данни в рамките на същия хост клиент, не се оценява от правилата за изолация на клиент.
Изолация на клиенти със списъци с разрешения
Еднопосочната изолация на клиента или входящата изолация блокира опитите за установяване на връзка с вашия клиент от други клиенти.
Сценарий: Списък с изходящи разрешения – Fabrikam се добавя към списъка с изходящи разрешения на клиента на Contoso
В този сценарий администраторът добавя клиента на Fabrikam в списъка с изходящи разрешения, докато изолацията на клиента е включена.
Потребителите, влезли Power Platform в клиента на Contoso, могат да установят изходящи Microsoft Entra връзки, базирани на ИД, към източници на данни в клиента на Fabrikam, ако представят подходящи Microsoft Entra идентификационни данни за установяване на връзката. Установяването на изходяща връзка с наемателя на Fabrikam е разрешено по силата на конфигурирания вход на Allowl.
Въпреки това, потребителите, влезли Power Platform в клиента на Fabrikam, все още не могат да установят входящи Microsoft Entra връзки, базирани на ИД, към източници на данни в клиента на Contoso, въпреки че представят подходящи Microsoft Entra идентификационни данни за установяване на връзката. Установяването на входяща връзка от клиента на Fabrikam все още е забранено, дори когато записът в списъка с разрешени е конфигуриран и позволява изходящи връзки.
| Клиент на създателя на връзката | Клиент за вход за връзка | Достъпът е разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолация на клиент Включено) Fabrikam е добавен към списъка с изходящи разрешения |
Fabrikam | Да |
| Fabrikam | Contoso (изолация на клиент Включено) Fabrikam е добавен към списъка с изходящи разрешения |
Не (входящи) |
| Fabrikam | Fabrikam | Да |
Сценарий: Двупосочен списък с разрешения – Fabrikam се добавя към списъците с входящи и изходящи разрешения на клиента на Contoso
В този сценарий администраторът добавя клиента на Fabrikam както към входящите, така и към изходящите списъци с разрешения, докато изолацията на клиента е включена.
| Клиент на създателя на връзката | Клиент за вход за връзка | Достъпът е разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолация на клиент Включено) Fabrikam е добавен към двата списъка с разрешения |
Fabrikam | Да |
| Fabrikam | Contoso (изолация на клиент Включено) Fabrikam е добавен към двата списъка с разрешения |
Да |
| Fabrikam | Fabrikam | Да |
Разрешаване на изолация на клиенти и конфигуриране на списъка с разрешения
Отидете в центъра за администриране на Power Platform.
В навигационния екран изберете Защита.
В екрана Защита изберете Самоличност и достъп.
В страницата Управление на самоличност и достъп изберете Изолация на клиент.
За да разрешите изолирането на клиентите, включете опцията Ограничаване на връзките между клиентите.
За да разрешите комуникация между клиенти, изберете Добавяне на изключения в екрана Изолация на клиент.
Ако изолацията на клиента е изключена, все още можете да добавяте или редактирате списъка с изключения. Списъците с изключения обаче не се прилагат, докато не включите изолацията на клиента.
От падащия списък Разрешена посока изберете посоката на записа в списъка с разрешени.
Въведете стойността на разрешения клиент като домейн на клиент или ИД на клиент в полето ИД на клиент. След като бъде запазен, записът се добавя към списъка с разрешени заедно с други разрешени наематели. Ако използвате домейна на клиента, за да добавите записа в списъка с разрешени, центърът Power Platform за администриране автоматично изчислява ИД на клиента.
Можете да използвате "*" като специален знак, за да покажете, че всички клиенти са разрешени в определената посока, когато изолацията на клиента е включена.
Изберете Запиши.
Бележка
Трябва да имате Power Platform роля на администратор, за да видите и зададете правилата за изолация на клиенти.
Бележка
За да сте сигурни, че изолацията на клиента не блокира никакви повиквания, когато се използва, включете изолациятана клиента, добавете ново правило за клиент, задайте ИД на клиент като "*" и задайте разрешена посока на входящи и изходящи.
Можете да извършвате всички операции със списъка с разрешени, като добавяне, редактиране и изтриване, докато изолацията на клиента е включена или изключена. Разрешаването на записи в списък оказва влияние върху поведението на връзката, когато изолацията на клиента е изключена , тъй като всички връзки между клиенти са разрешени.
Въздействие върху дизайна и времето върху приложенията и потоците
Потребителите, които създават или редактират ресурс, засегнати от правилата за изолация на клиенти, виждат свързано съобщение за грешка. Например Power Apps производителите виждат следната грешка, когато използват връзки между клиенти в приложение, което е блокирано от правилата за изолация на клиенти. Приложението не добавя връзката.
По същия начин Power Automate производителите виждат следната грешка, когато се опитват да запишат поток, който използва връзки в поток, който е блокиран от политиките за изолация на клиентите. Самият поток се запазва, но е маркиран като "Спрян" и не се изпълнява, освен ако производителят не отстрани нарушението на правилата за предотвратяване на загуба на данни (DLP).
Въздействие върху времето на изпълнение върху приложенията и потоците
Като администратор можете да решите да промените политиките за изолация на клиентите за вашия клиент във всеки един момент. Ако приложенията и потоците са били създадени и изпълнени в съответствие с по-ранните политики за изолиране на клиентите, някои от тях може да бъдат негативно засегнати от направените от вас промени в политиката. Приложенията или потоците, които са в нарушение на правилата за изолиране на клиенти, не се изпълняват успешно. Например хронологията на изпълнение в Power Automate показва, че изпълнението на потока е неуспешно. Освен това избирането на неуспешното изпълнение показва подробности за грешката.
За съществуващи потоци, които не се изпълняват успешно поради най-новата политика за изолиране на клиент, хронологията на изпълнение в Power Automate показва, че изпълнението на потока е неуспешно.
Избирането на неуспешното изпълнение показва подробности за неуспешното изпълнение на потока.
Бележка
Отнема около час, за да бъдат оценени най-новите промени в правилата за изолиране на клиенти спрямо активни приложения и потоци. Тази промяна не е мигновена.
Познати проблеми
Azure DevOps конекторът използва Microsoft Entra удостоверяване като доставчик на самоличност, но използва собствен OAuth поток и STS за упълномощаване и издаване на токен. Тъй като маркерът, върнат от потока на ADO въз основа на конфигурацията на този конектор, не е от Microsoft Entra ИД, правилата за изолация на клиента не се прилагат. Като смекчаване препоръчваме да използвате други типове правила за данни, за да ограничите използването на конектора или неговите действия.